Hass & Associates Hong Kong Cybersecurity: Företag, som söker 
gemensamma grundvalar för cybersäkerhet, vända sig till försäkringsbolag 



En obeveklig störtflod av cyberattacks har lämnat många företags trygghet offlclerna 
söker en tydligare gemensam förståelse av vad som utgör god säkerhetsstrategi, och ser 
att försäkringsbranschen för svar. 

Utöver några reglerade branscher som hälsovård, de flesta företag få relativt lite officiell 
vägledning om säkerhet och idéer om bästa praxis tenderar att vara splittrad. 
Regeringen och industrin grupper ger lite hjälp, men de flesta företag är mer eller 
mindre fria att kartlägga sin egen kurs genom faror i den digitala eran. Medan det kan 
ha fördelar, att främja flexibilitet och innovation, vill vissa företag tydligare standarder. 
Som kan hjälpa stärka försvaret, förbättra riskhanteringen och göra det lättare att 
försvara sig mot anklagelser om vårdslöshet vid en stor kränkning. 

"Det finns ett stort utrymme där för försäkringsbolagen att göra en bättre bedömning av 
risken för utfärdande cyber försäkringar," sa Dave Frymier, chief information security 
officer på Unisys Corp.UIS +0.22% "Som skulle gå en lång väg mot Rita en ordentlig linje i 
sanden om vad är försumlig och vad som inte är." 

Försäkringsbolag ett massivt expertis inom området för cybersäkerhet . Multiline 
egendom och casuaity försäkringsgivare Ace ACE-0.66% Group, en del av Ace Ltd, till 
exempel har anställt advokater som ständigt tittar på lagstiftningen, stadgar och 
rättspraxis samt aktuarier att övervaka och hantera risk. American International Group 
lnc.AIG-0.26%, ess och andra samarbetar med vaktbolag som erbjuder teknik och 
tjänster för att förebygga eller återhämta sig från angrepp. 

"Genom det sätt vi pris försäkring, vi knuffa människor att förändra det sätt på vilket de 
hanterar sina risker. Vi belönar mogna infrastruktur, vi belönar mogna styrning med 
lägre priser och större täckning,"sa Peter D. Hancock, President och CEO av AIG, talade 
den 2 April på en cyber försäkring evenemang vid New York University. 

Försäkringsbolagen har lärt mig hur man mäter risken vid utfärdandet av livförsäkringar 
och de är skickliga på att titta på en persons färdregistreringen, ålder, demografi och där 
han eller hon bor innan en bil försäkring. "Motsvarande allt som återstår att göras för 
cyber försäkring," sade Mr Frymier. 

Några branscher som hälsovård och finansiella tjänster har redan föreskrifter om hur 
uppgifter skall hanteras, men det finns inte mycket vägledning ute för företag inte inom 
reglerade branscher. Det finns potential för försäkringsbolagen att använda något som 



National Institute of Standards och teknik ram för förbättra kritisk infrastruktur 
cybersäkerhet, släpptes i februari 2014, för att bedöma risken i corporate cyber 
försäkringar. NIST ramen är en uppsättning standarder och bästa praxis för att hjälpa 
organisationer att hantera cybersäkerhet risker. 

Mr Frymier tyder på att försäkringsbolagen kunde poäng företag baserat på dussintals 
garantier eller motåtgärder kallas kontrollmål som beskrivs i denna ram. Baserat på ett 
företags värdering, försäkringsgivaren skulle ställa en premie och skulle avgöra hur hög 
självrisken skulle vara och hur mycket täckning ett företag skulle få. 

Som försäkringsbranschen blir bättre på att mäta risk över tiden, kommer det att kunna 
bredda täckningen och öka kapacitet, vilket är något företag säger att de behöver. 
Historiskt sett de risker som har tagits upp i en typisk cyber politik varit smal och 
mängden kapacitet som är tillgänglig för alla ett företag är fortfarande mycket liten, 
sade Mr Hancock. 

"Den största täckning som jag känner till är för en bank som har omkring 400 miljoner 
dollar i täckning som är mycket liten när man tänker på det," sade han. 

Andra försäkringar experter säger att det är mycket vanligare att stora företag att ha 
täckning i intervallet $100 till $200 miljoner. I en fyllning förra månaden, Target Corp 
noterade att dess 2013 dataintrång kostar uppskattningsvis $252 miljoner i kostnader. 
Efter dess förväntade $90 miljoner försäkringsersättning som fortfarande lämnar $162 
miljoner i kostnader som inte täcks. 

"Försäkring som vi har kunnat köpa är långt mindre än vi vill ha," sade Mr Frymier, av 
Unisys. "Självrisker är mycket högre än det verkar att de borde vara och det kostar mer 
än vi tror det ska." 

Inte alla företag som söker mer försäkring inblandning i deras cybersäkerhet metoder. 
En CIO i ett Fortune 100 finansiella tjänsteföretag sade hans företag är överösta med 
standarder för cybersäkerhet och redan samarbetar med försäkringsbolagen. 

Fortfarande, försäkringsgivare se värdet i standarder som kan användas i en mängd olika 
branscher. Mr Hancock säger att AIG stöds utformningen av NIST ramen. "Vi tror att det 
är en fantastisk start," sade han. "Det finns en enorm dynamik på sätt som försäkring 
kan reagera på risken som kompletterar regeringens förordning som är Inneboende lite 
långsam att anpassa sig." 



